一種檢測Web應(yīng)用的方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù)，并且尤其涉及檢測Web應(yīng)用的方法和系統(tǒng)。
【背景技術(shù)】
[0002]為了提高Web應(yīng)用的安全性，在Web應(yīng)用測試階段，通常會使用Web漏洞掃描器來對Web應(yīng)用進行掃描，并對發(fā)現(xiàn)的漏洞進行修補。
[0003]通常，Web漏洞掃描器使用爬蟲技術(shù)來根據(jù)Web頁面的特征提交數(shù)據(jù)對Web應(yīng)用進行模糊測試來分析Web頁面存在的漏洞。然而，使用爬蟲技術(shù)將可能導(dǎo)致部分Web頁面被遺漏，例如當Web站點缺少指向Web頁面的鏈接時，由于依賴鏈接，單獨使用爬蟲技術(shù)將遺漏該Web頁面。另一方面，目前Web漏洞掃描器由于分析數(shù)據(jù)源單一而無法準確地識別漏洞。

【發(fā)明內(nèi)容】

[0004]提供一種檢測Web應(yīng)用的方法，所述方法包括:
預(yù)分析所述Web應(yīng)用的過程:
通過在Web服務(wù)器中設(shè)置的第一裝置獲取所述Web服務(wù)器中的Web應(yīng)用基本信息，以及將該Web應(yīng)用基本信息發(fā)送至所述第二裝置，該Web應(yīng)用基本信息包括Web應(yīng)用文件目錄結(jié)構(gòu)、Web應(yīng)用腳本語言類型，
通過獨立于所述Web服務(wù)器設(shè)置的第二裝置通過HTTP協(xié)議遍歷所述Web服務(wù)器中的Web應(yīng)用生成第一 URL集合，
通過所述第二裝置比較所述Web應(yīng)用文件目錄結(jié)構(gòu)和所述第一 URL集合生成第二 URL
隹A
口，
通過所述第二裝置根據(jù)所述第二 URL集合確定Web應(yīng)用功能點、該Web應(yīng)用功能點涉及的Web應(yīng)用功能點URL、該Web應(yīng)用功能點源文件，其中，Web應(yīng)用功能點指具有特定功能的Web應(yīng)用接口，
通過所述第二裝置根據(jù)所述Web應(yīng)用基本信息確定漏洞模板集合，漏洞模板是檢測特定漏洞的描述腳本。
[0005]提供一種檢測Web應(yīng)用的系統(tǒng)，包括:
在Web服務(wù)器中設(shè)置的第一裝置和通過獨立于所述Web服務(wù)器設(shè)置的第二裝置，其中，第一裝置被配置為所述Web服務(wù)器中的Web應(yīng)用基本信息，以及將該Web應(yīng)用基本信息發(fā)送至所述第二裝置，該Web應(yīng)用基本信息包括Web應(yīng)用文件目錄結(jié)構(gòu)、Web應(yīng)用腳本語言類型，
第二裝置被配置為通過HTTP協(xié)議遍歷所述Web服務(wù)器中的Web應(yīng)用生成第一 URL集入PU，
所述第二裝置被配置為比較所述Web應(yīng)用文件目錄結(jié)構(gòu)和所述第一 URL集合生成第二URL集合， 所述第二裝置被配置為根據(jù)所述第二 URL集合確定Web應(yīng)用功能點、該Web應(yīng)用功能點涉及的Web應(yīng)用功能點URL、該Web應(yīng)用功能點源文件，其中，Web應(yīng)用功能點指具有特定功能的Web應(yīng)用接口，
所述第二裝置被配置為根據(jù)所述Web應(yīng)用基本信息確定漏洞模板集合，漏洞模板是檢測特定漏洞的描述腳本。
【附圖說明】
[0006]在下文的描述中，參照附圖描述本發(fā)明的一個或多個方面的實施例。這些實施例以充分的細節(jié)被描述以使得本領(lǐng)域技術(shù)人員能夠?qū)嵤┍景l(fā)明?？梢赃@些具體細節(jié)的較少程度來實踐各一個或多個實施例，可以各種形式來實施所概括的各個實施例，以及可以使用其他實施例并且可以在不偏離本發(fā)明的范圍的情況下進行結(jié)構(gòu)、邏輯和功能實施例的變化。各個實施例并不一定是相互排斥的，因為一些實施例的方面可以與一個或多個其他實施例的方面相結(jié)合以形成新的實施例。
[0007]圖1是根據(jù)本發(fā)明一個方面的檢測Web應(yīng)用的方法的流程圖。
[0008]圖2是根據(jù)本發(fā)明一個方面的檢測Web應(yīng)用的系統(tǒng)的示意圖。
【具體實施方式】
[0009]圖1是根據(jù)本發(fā)明一個方面的檢測Web應(yīng)用的方法的流程圖。如圖所示，檢測Web應(yīng)用的方法包括以下過程中一個或多個。在過程101中,預(yù)分析Web應(yīng)用。在該過程中,確定Web應(yīng)用功能點相關(guān)信息和/或針對該Web應(yīng)用的漏洞模板集合，漏洞模板是檢測特定漏洞的腳本。在過程102中，分析Web應(yīng)用功能點。在該過程中，從漏洞模板集合確定適用于該Web應(yīng)用功能點的漏洞模板子集。在過程103中，分析和驗證Web漏洞。在該過程中，由所述第二裝置根據(jù)HTTP響應(yīng)和/或監(jiān)控信息分析和驗證Web漏洞。
[0010]在一個實施例中，預(yù)分析Web應(yīng)用包括:
通過在Web服務(wù)器中設(shè)置的第一裝置獲取所述Web服務(wù)器中的Web應(yīng)用基本信息，以及將該Web應(yīng)用基本信息發(fā)送至所述第二裝置，該Web應(yīng)用基本信息包括Web應(yīng)用文件目錄結(jié)構(gòu)、Web應(yīng)用腳本語言類型，在一個實例中，該Web應(yīng)用基本信息還包括可識別的開源應(yīng)用模塊及其版本。
[0011]通過獨立于所述Web服務(wù)器設(shè)置的第二裝置通過HTTP協(xié)議遍歷(例如，使用Web爬蟲技術(shù))所述Web服務(wù)器中的Web應(yīng)用生成第一 URL集合，
通過所述第二裝置比較所述Web應(yīng)用文件目錄結(jié)構(gòu)和所述第一 URL集合生成第二 URL
隹A
口，
通過所述第二裝置根據(jù)所述第二 URL集合確定Web應(yīng)用功能點、該Web應(yīng)用功能點涉及的Web應(yīng)用功能點URL、該Web應(yīng)用功能點源文件，其中，Web應(yīng)用功能點指具有特定功能的Web應(yīng)用接口，
通過所述第二裝置根據(jù)所述Web應(yīng)用基本信息確定漏洞模板集合，漏洞模板是檢測特定漏洞的描述腳本。
[0012]這里，URL即統(tǒng)一資源定位符。作為示例，URL格式為: protocol://hostname[: port]/path/[parameters][?query]Sfragment 作為示例，一個Web應(yīng)用功能點可以為: protocol://hostname[: port]/path
在該實施例中，通過比較所述Web應(yīng)用文件目錄結(jié)構(gòu)和所述第一 URL集合可以補足第一 URL集合得到第二 URL集合。這是因為Web應(yīng)用的URL集合和Web應(yīng)用文件目錄結(jié)構(gòu)存在對應(yīng)關(guān)系。
[0013]例如，一個Web應(yīng)用的第一 URL集合如下: http://xssrat.sinaapp.com/main, php http://xssrat.sinaapp.com/project.php?p_id=114 http://xssrat.sinaapp.com/project.php?p_id=113 http://xssrat.sinaapp.com/project.php?p_id=lll http://xssrat.sinaapp.com/module, php http://xssrat.sinaapp.com/user, php
該Web應(yīng)用的文件目錄結(jié)構(gòu)如下:
J:\workspace\l\main.phpJ:\workspace\l\project.phpJ:\workspace\l\module.phpJ:\workspace\l\user.phpJ:\workspace\l\users.phpJ:\workspace\l\include\foot.phpJ:\workspace\l\include\head.php
通過比較所述Web應(yīng)用文件目錄結(jié)構(gòu)和所述第一 URL集合可知通過例如爬蟲技術(shù)獲取的第一 URL集合是不完整的，因此可以將以下URL補進第一 URL集合得到第二 URL集合:http://xssrat.sinaapp.com/user, sphphttp://xssrat.sinaapp.com/include/foot, phphttp://xssrat.sinaapp.com/include/head, php
在該實施例中，個Web應(yīng)用功能點可以涉及多個Web應(yīng)用功能點URL并且涉及一個或多個Web功能點源文件。例如一個Web應(yīng)用功能點為: http://xssrat.sinaapp.com/project.php 其涉及多個Web應(yīng)用功能點URL為: http://xssrat.sinaapp.com/project.php?p_id=114 http://xssrat.sinaapp.com/project.php?p_id=113 http://xssrat.sinaapp.com/project.php?p_id=lll 其Web功能點源文件為:
J:\workspace\l\project.php
Web功能點源文件指Web應(yīng)用中服務(wù)端的多個源碼文件(例如，JSP、PHP、ASPX等類型的源碼文件)。這些Web功能點源文件共同構(gòu)建成WEB應(yīng)用功能點供用戶使用。
[0014]如上所述，通過所述第二裝置根據(jù)所述Web應(yīng)用基本信息確定漏洞模板集合。在檢測時，第二裝置可以根據(jù)描述腳本結(jié)合單個URL對Web進行漏洞掃描。漏洞模板集合可以來自保存在第二裝置中的漏洞模板庫。本領(lǐng)域技術(shù)人員可以理解的是，可以根據(jù)特定Web應(yīng)用的基本信息(例如，Web應(yīng)用文件目錄結(jié)構(gòu)，Web應(yīng)用腳本語言類型，可識別的開源應(yīng)用模塊及其版本)對Web應(yīng)用進行分類和定性，以判斷該Web應(yīng)用需要檢查哪些漏洞，以及從漏洞模板庫中抽取需要使用的漏洞模板，形成針對該Web應(yīng)用的漏洞模板集合。
[0015]舉例來說，根據(jù)Web應(yīng)用的基本信息,判斷該Web應(yīng)用使用Apache Tomcat中間件、Java EE+JSP, Struts 2開發(fā)框架。那么，可以漏洞模板庫中抽取針對該Web應(yīng)用的漏洞模板，諸如Apache Tomcat漏洞檢查模板、Stuts2漏洞檢查模板、Xss漏洞檢查模板等。
[0016]在一個實施例中，對一個Web應(yīng)用功能點的分析包括以下過程:
通過所述第一裝置根據(jù)指令對所述Web應(yīng)用功能點的源文件進行代碼安全分析明得到關(guān)于該Web應(yīng)用功能點的明確不可能存在的漏洞、可能存在的漏洞、明確存在的漏洞、對應(yīng)于明確存在的漏洞的攻擊載荷，
通過所述第二裝置根據(jù)關(guān)于該Web應(yīng)用功能點明確不可能存在的漏洞、可能存在的漏洞、明確存在的漏洞、對應(yīng)于明確存在的漏洞的攻擊載荷，從漏洞模板集合確定適用于該Web應(yīng)用功能點的漏洞模板子集。例如，對于代碼安全分析結(jié)果中可能存在的漏洞，加載對應(yīng)的漏洞模板，對于代碼安全分析結(jié)果中明確存在的漏洞，加載對應(yīng)的漏洞模板，并加載攻擊載荷。
[0017]代碼安全分析包括類型檢查、風(fēng)格檢查、程序理解、屬性檢查、Bug查找、安全審查中的一個或多個。其中，類型檢查主要分析靜態(tài)代碼中類型轉(zhuǎn)換不當導(dǎo)致的安全問題。風(fēng)格檢查主要通過一定的規(guī)則檢查程序中的空格、命名、否決函數(shù)、注釋、程序機構(gòu)等，發(fā)現(xiàn)影響代碼可讀性、可維護性的問題。程序理解根據(jù)代碼理解程序的運行邏輯以發(fā)現(xiàn)邏輯性的安全問題。屬性檢查用于檢查程序中臨時性安全屬性。臨時性安全屬性規(guī)定了一系列有序的事件，在程序中絕對不能發(fā)生這些事件。比如內(nèi)存泄露、資源的不有效釋放等問題。BUG查找用于找出程序以程序員設(shè)想之外的方式運轉(zhuǎn)的一些地方，來查找代碼中通常存在Bug的地方。安全審查通過檢查程序中的關(guān)鍵函數(shù)及上下文，綜合利用屬性檢查和BUG查找兩種方法，發(fā)現(xiàn)可能存在的安全問題。參考《Secure Programming with Static Analysis》Addison-ffesley.2007.1SBN 978-0321424778。本領(lǐng)域技術(shù)人員能夠通過參考《SecureProgramming with Static Analysis))完成上述代碼安全分析過程?！禨ecure Programmingwith Static Analysis))通過引用并入本文。
[0018]例如，示例性地，本領(lǐng)域技術(shù)人員能夠理